4720 ユーザーアカウントの作成
新しいユーザーアカウントが作成されたときに記録される。攻撃者による不正アカウントの作成(永続化・バックドア)を捉える、アカウント管理監視の中核イベント。
概要
サブカテゴリは Audit User Account Management。新しいユーザーオブジェクトが作成されると生成され、ドメインコントローラ・メンバーサーバー・ワークステーションのいずれでも記録される。作成されたアカウント名・作成者・初期属性が含まれる。
発生契機・方法
net user /add、AD ユーザー作成、New-LocalUser/New-ADUser、API などによるアカウント作成。
セキュリティ上の確認事項
- 攻撃者は侵害後に独自のアカウントを作り、再侵入用のバックドア(永続化)にすることがある。とくに管理者級グループへの追加(4732)が直後に続く場合は要警戒。
- 作成主体・時刻・命名規則からの逸脱(業務時間外、命名規則に従わない名前)に注目する。サービスアカウントや管理者を装った名前にも注意。
- 直後の有効化 4722・パスワード設定・グループ追加 4732 と併せ、一連のアカウント準備を追う。
ログレビュー時の注意観点
- 正規の入退社・運用でも発生する。作成主体(人事システム連携か手動か)・対象 OU・命名規則と照合する。
- ドメインコントローラでの作成はドメイン全体に効く。とくに DC 上の 4720 を重点的に監視する。
主なフィールド
| フィールド | 意味 |
|---|---|
New Account\Account Name | 作成されたアカウント名 |
Subject\Account Name | アカウントを作成した主体 |
SAM Account Name / 各属性 | 初期設定された属性 |